С приложениями Apex дело в том, что весь базовый код - это PL / SQL, поэтому неудивительно, что основным классом уязвимости, влияющей на приложение Apex, является SQL-инъекция.
Вам необходимо убедиться, чтоне используйте переменные подстановки (например, & P1_TEST.), так как они почти всегда приводят к инъекции, пригодной для использования.Когда они используются в начальных / конечных блоках PL / SQL, внедрение очень «мощное», поскольку злоумышленник может указать произвольное количество операторов PL / SQL.
Многие приложения Apex используют динамический SQL (где запроссоздается в виде строки и затем выполняется), либо с помощью прямых вызовов EXECUTE IMMEDIATE, либо с помощью блоков Apex FUNCTION_RETURNING_SQL.Динамический SQL почти всегда плохая идея.
Вы также найдете довольно много межсайтовых сценариев в приложениях Apex, где не удается избежать ввода от пользователей или от запросов, выполняемых к базе данных.Различные отчеты Apex предоставляют настройки для включения экранирования, но они могут быть не выбраны при определении отчета.
Также рассмотрите модель контроля доступа и убедитесь, что все страницы защищены соответствующими схемами авторизации.Не используйте таблицу APEX_APPLICATION_FILES, если вы сохраняете закачки, поскольку это не защищает от неаутентифицированных загрузок.
Надеюсь, что это поможет, и удачи!